Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Các cuộc tấn công lợi dụng lỗ hổng bảo mật trên Outlook (CVE-2023-23397)
Sau khi lỗ hổng bảo mật trên Outlook, CVE-2023-23397, được Microsoft công bố, đội ngũ Threat Intelligence của QiAnXin (RedDrip team) đã tiến hành theo dõi và phát hiện được 1 loạt các cuộc tấn công lợi dụng lỗ hổng này. Các cuộc tấn công này được cho là đã được thực hiện từ tháng 03/2022 trở lại đây với danh sách nạn nhân trải dài trên nhiều quốc gia.
Lỗ hổng nằm ở 2 trường đặc biệt được thêm vào các appointment events đính kèm trong các email gửi đến nạn nhân. Khi Outlook thực hiện parse các email này sẽ truy cập đến đường dẫn UNC do hacker thêm vào trong trường đặc biệt, dẫn đến lộ lọt mã hash NTLM từ máy của nạn nhân, tạo điều kiện cho các hành vi tấn công phía sau.
RedDrip team đã thu thập được 1 số mẫu email độc hại được sử dụng trong các cuộc tấn công như dưới đây
Number | MD5 | VirusTotal upload time |
1 | 2bb4c6b32d077c0f80cda1006da90365 | 2022-12-29 13:00:43 UTC |
2 | 9f4172d554bb9056c8ba28e32c606b1e | 2022-04-01 06:21:07 UTC |
3 | 3d4362e8fe86d2f33acb3e15f1dad341 | 2022-04-14 11:49:27 UTC |
4 | e6efaabb01e028ef61876dd129e66bac | 2023-03-23 09:03:23 UTC |
Mẫu tấn công Công ty Công nghệ Phòng thủ của Thổ Nhĩ Kỳ
Đường dẫn UNC đính kèm trong mẫu này dẫn đến “\\113.160.234[.]229\istanbul“, nội dung email cũng có nhắc đến Istanbul.
Địa chỉ IP trong đường dẫn UNC nằm ở Việt Nam, được phát hiện là của 1 thiết bị Ubiquiti EdgeRouter (có thể đã bị chiếm quyền bởi hacker)
Phân tích thêm mẫu email thu thập được địa chỉ email người gửi có đăng ký 1 VPS tại wizzsolutions.com, còn địa chỉ email người nhận là của 1 công ty Thổ Nhĩ Kỳ có tên STM (https://www.stm.com.tr/tr) hoạt động chủ yếu về lĩnh vực công nghệ phòng thủ, tàu quân đội và các hoạt động liên quan.
Ngoài ra đội ngũ QiAnXin cũng phát hiện và phân tích thêm các mẫu email tấn công nhắm đến bộ phận Dịch vụ di cư của bang (the State Migration Service) của Ukraina, Bộ Ngoại Giao của Rumani và công ty cung cấp vũ khí của Ba Lan. Thông tin chi tiết: https://ti.qianxin.com/blog/articles/Analysis-of-In-the-wild-Attack-Samples-Exploiting-Outlook-Privilege-Escalation-Vulnerability-(CVE-2023-23397)-EN/
Indicators of Compromise (IoCs):
MD5
e6efaabb01e028ef61876dd129e66bac
3d4362e8fe86d2f33acb3e15f1dad341
9f4172d554bb9056c8ba28e32c606b1e
2bb4c6b32d077c0f80cda1006da90365
C2
\\113.160.234[.]229\istanbul
\\5.199.162[.]132\SCW
\\101.255.119[.]42\event\2431
\\213.32.252[.]221\silence
Nguồn tham khảo: https://ti.qianxin.com/blog/articles/Analysis-of-In-the-wild-Attack-Samples-Exploiting-Outlook-Privilege-Escalation-Vulnerability-(CVE-2023-23397)-EN/
1.2 Hydrochasma – Nhóm tấn công mới nhắm đến các tổ chức Y tế và Vận chuyển ở châu Á
Symantec đã phát hiện ra 1 chiến dịch tấn công thu thập thông tin diễn ra từ tháng 10/2022. Chiến dịch tấn công được thực hiện bởi Hydrochasma, 1 nhóm tấn công mới, với mục tiêu nhắm đến các tổ chức có liên quan đến điều trị và cung cấp vắc-xin cho COVID-19. 1 điểm đáng chú ý là trong chiến dịch này Hydrochasma hoàn toàn sử dụng các công cụ mã nguồn mở để thực hiện tấn công và thu thập thông tin.
Attack Chain
Nhóm này sẽ bắt đầu tấn công nạn nhân bằng việc gửi 1 phishing email có chứa các tệp đính kèm giả mạo các tài liệu liên quan đến tổ chức của nạn nhân hoặc giả mạo dưới dạng 1 bản sơ yêu lí lịch.
Sau khi đã có quyền truy cập đến 1 máy nạn nhân, nhóm tấn công sẽ tải xuống Fast Reverse Proxy (FRP), công cụ giúp kết nối 1 máy chủ nội bộ (local server) đứng sau NAT hoặc firewall ra ngoài Internet. Công cụ này khi tải xuống sẽ được đặt tên giả mạo 1 file cập nhật của Microsoft Edge “MicrosoftEdgeUpdate.exe”. 1 file khác được đặt tên “msedgeupdate.dll” nhưng thực chất là Meterpreter, công cụ thuộc Metasploit framework.
Các công cụ khác được phát hiện trong hệ thống mạng của nạn nhân gồm có:
- Gogo scanning tool: công cụ quét tự động
- Process Dumper
- Cobalt Strike Beacon
- AlliN scanning tool: công cụ dò quét mạng intranet
- Fscan
- Dogz proxy tool: công cụ VPN proxy miễn phí
Ngoài ra trong quá trình phân tích đội ngũ Symantec cũng phát hiện thêm các bộ công cụ khác được sử dụng trong chiến dịch tấn công của Hydrochasma, bao gồm:
- SoftEtherVPN
- Procdump
- BrowserGhost
- Gost proxy
- Ntlmrelay
- Task Scheduler
- Go-strip
- HackBrowserData
Các công cụ này đều nhằm mục đích giúp nhóm chiếm quyền truy cập đến các máy nạn nhân, duy trì kết nối, từ đó thực hiện leo thang đặc quyền và thâm nhập sâu hơn vào hệ thống mạng nội bộ
Indicators of Compromise (IoCs)
File Indicators
SHA256
409f89f4a00e649ccd8ce1a4a08afe03cb5d1c623ab54a80874aebf09a9840e5 – Fast Reverse Proxy
47d328c308c710a7e84bbfb71aa09593e7a82b707fde0fb9356fb7124118dc88 – GoGo Scanning Tool
6698a81e993363fab0550855c339d9a20a25d159aaa9c4b91f60bb4a68627132 – Dropper
7229bd06cb2a4bbe157d72a3734ba25bc7c08d6644c3747cdc4bcc5776f4b5b9 – Process Dumper (lsass.exe)
72885373e3e8404f1889e479b3d46dd8111280379c4065bfc1e62df093e42aba – Fast Reverse Proxy
72bc8b30df3cdde6c58ef1e8a3eae9e7882d1abe0b7d4810270b5a0cc077bb1a – Cobalt Strike Beacon
7b410fa2a93ed04a4155df30ffde7d43131c724cdf60815ee354988b31e826f8 – Fast Reverse Proxy
7f0807d40e9417141bf274ef8467a240e20109a489524e62b090bccdb4998bc6 – Process Dumper (lsass.exe)
8c0f0d1acb04693a6bdd456a6fcd37243e502b21d17c8d9256940fc7943b1e9a – Cobalt Strike Beacon
8e32ea45e1139b459742e676b7b2499810c3716216ba2ec55b77c79495901043 – Fast Reverse Proxy
981e5f7219a2f92a908459529c42747ac5f5a820995f66234716c538b19993eb – GoGo Scanning Tool
9ebd789e8ca8b96ed55fc8e95c98a45a61baea3805fd440f50f2bde5ffd7a372 – Fast Reverse Proxy
9f5f7ba7d276f162cc32791bfbaa0199013290a8ac250eb95fd90bc004c3fd36 – Cobalt Strike Beacon
a0f5966fcc64ce2d10f24e02ae96cdc91590452b9a96b3b1d4a2f66c722eec34 – AllIn Scanning Tool
cb03b5d517090b20749905a330c55df9eb4d1c6b37b1b31fae1982e32fd10009 – Fscan
d1c4968e7690fd40809491acc8787389de0b7cbc672c235639ae7b4d07d04dd4 – Shellcode Loader
de01492b44372f2e4e38354845e7f86e0be5fb8f5051baafd004ec5c1567039f – Cobalt Strike Beacon
e378d8b5a35d4ec75cae7524e64c1d605f1511f9630c671321ee46aa7c4d378b – PE File
eba22f50eedfec960fac408d9e6add4b0bd91dd5294bee8cff730db53b822841 – Dropper
fc4b5f2ee9da1fe105bb1b7768754d48f798bf181cbc53583387578a5ebc7b56 – Dogz Proxy Tool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 Indicators
IPs
39.101.194[.]61 – Cobalt Strike Beacon C&C
47.92.138[.]241 – Cobalt Strike Beacon C&C
106.14.184[.]148
180.119.234[.]147
Domains
alidocs.dingtalk[.]com.wswebpic[.]com – Cobalt Strike Beacon C&C
csc.zte[.]com.cn.wswebpic[.]com – Cobalt Strike Beacon C&C
taoche[.]cn.wswebpic[.]com – Cobalt Strike Beacon C&C
URLs
hxxp://47.92.138[.]241:8090/update.exe
hxxp://47.92.138[.]241:8000/agent.exe
hxxp://47.92.138[.]241:8000/update.exe
hxxp://47.92.138[.]241:8000/ff.exe
hxxp://47.92.138[.]241:8000/aa.exe
hxxp://47.92.138[.]241:8000/runas.exe
hxxp://47.92.138[.]241:8090/a.exe
hxxp://47.92.138[.]241:8000/t.exe
hxxp://47.92.138[.]241:8000/po.exe
hxxp://47.92.138[.]241:8080/t.exe
hxxp://47.92.138[.]241:8899/t.exe
hxxp://47.92.138[.]241:8000/logo.png
hxxp://47.92.138[.]241:8080/t.png
hxxp://47.92.138[.]241:8000/frp.exe
1.3 Operation Tainted Love – Nhóm APT Trung Quốc tấn công các nhà cung cấp viễn thông Trung Đông
Trong Quý 1/2023, các nhà phân tích của SentinelLabs đã phát hiện các hoạt động tấn công nhắm đến các công ty viễn thông Trung Đông. Các hoạt động này được cho là thuộc về 1 nhóm gián điệp mạng Trung Quốc có liên quan đến chiến dịch Operation Soft Cell.
Các cuộc tấn công bắt đầu bằng việc xâm nhập các máy chủ Microsoft Exchange có kết nối ra ngoài Internet để thực hiện triển khai các webshells phục vụ việc thực thi các câu lệnh. Một khi các máy chủ này bị chiếm quyền và thiết lập kết nối hoàn chỉnh, các hành vi tấn công sau đó sẽ được tiến hành, bao gồm do thám, đánh cắp thông tin bảo mật, lateral movement và vận chuyển dữ liệu ra bên ngoài.
1 đặc điểm nổi bật trong chiến dịch tấn công này là việc sử dụng mã độc đánh cắp thông tin bảo mật có tùy chỉnh. Mã độc này, được đặt tên mim221 triển khai 1 chuỗi các chỉnh sửa của Mimikatz, bổ sung các kỹ thuật anti-detection bao gồm:
- Các malicious images được in-memory mapping nhằm tránh các kĩ thuật phát hiện file-based và EDR API hooks
- Tắt/dừng các threads liên quan đến Event Log thay vì các process nhằm ngăn chặn việc ghi log và không gây nghi ngờ
- Đặt sẵn 1 tính năng đánh cắp thông tin bảo mật trong chính tiến trình LSASS bằng cách lợi dụng các tính năng có sẵn của Windows
Bộ công cụ sử dụng trong chiến dịch này cho thấy có sự liên quan đến chiến dịch Operation Soft Cell được thực hiện bởi nhóm Gallium và có thể có sự kết nối đến nhóm APT4, dựa trên sự tương đồng trong code và signing certificate.
Indicators of Compromise (IoCs)
SHA1 | Note |
f54a41145b732d47d4a2b0a1c6e811ddcba48558 | pc.exe |
1c405ba0dd99d9333173a8b44a98c6d029db8178 | AddSecurityPackage64.dll (unpatched) |
df4bd177b40dd66f3efb8d6ea39459648ffd5c0e | AddSecurityPackage64.dll (patched) |
814f980877649bc67107d9e27e36fba677cad4e3 | pc.dll |
508408edda49359247edc7008762079c5ba725d9 | getHashFlsa64.dll (unpatched) |
97a7f1a36294e5525310f121e1b98e364a22e64d | getHashFlsa64.dll (patched) |
2 Malware
2.1 Phân tích mã độc Bumblebee
Trong thời gian qua, ChatGPT được ưa chuộng và sử dụng bởi đa số người dùng nhằm cải thiện tốc độ cũng như chất lượng công việc. Do số lượng người sử dụng ChatGPT lớn, các nhóm tấn công cũng nhắm tới GPT với mục đích phát tán mã độc. Gần đây, có một số mẫu mã độc sử dụng trình cài đặt của ChatGPT client để triển khai mã độc Bumblebee
Khi khởi chạy file cài đặt, giao diện cài đặt của ChatGPT được hiển thị trên màn hình, đồng thời tiến trình powershell cũng sẽ được thực thi với tham số là file powershell tại đường dẫn “%temp%\Package Installation Dir”
File powershell chch.ps1 đã bị obfuscated, kết quả sau khi deobfuscate như sau:
So sánh đối chiếu đoạn code, chúng tôi nhận thấy nhóm tấn công sử dụng lại các đoạn code của script Invoke-ReflectivePEInjection trong bộ công cụ PowerSploit. Trong trường hợp này, đoạn script chch.ps1 thực hiện load Bumblebee Trojan vào trong memory
Qua quá trình debug, chúng tôi nhận thấy danh sách các địa chỉ C2, tuy nhiên trong số đó có các địa chỉ và port không hợp lệ.
Indicators of Compromise (IoCs)
Hash:
9982330ae990386cd74625f0eaa26ae697574694eb2ec330c2acac5e0149fdc0
6271fd1865bed9afbc9e92f36714e97495f5b327f8cda1e02b569e9e1b9daef5
IP Address:
45.61.187.225:443
91.206.178.68:443
193.109.120.252:443
URL:
https://gissa-dev.com/ChatGPT_Setup.msi
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – April 2023
Trong tháng 4, Microsoft đã phát hành các bản vá cho 97 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Windows Defender; SharePoint Server; Windows Hyper-V; PostScript Printer; và Microsoft Dynamics. Trong đó có 7 lỗ hổng được đánh giá mức độ Nghiêm trọng, 90 lỗ hổng được đánh giá là Improtant. Dưới đây là các CVE nổi bật:
3.1.1 CVE-2023-28252 – Windows Common Log File System Driver Elevation of Privilege Vulnerability.
CVSS: 7.8/10
Mô tả: Driver (.sys) của CLFS tồn tại lỗ hổng leo thang đặc
quyền cho phép kẻ tấn công thực thi các đoạn mã bằng quyền SYSTEM. Microsoft ghi nhận lỗ hổng đang được khai thác, sử dụng bởi các nhóm tấn công
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update–guide/vulnerability/CVE–2023–28252
3.1.2 CVE-2023-21554 – Microsoft Message Queuing Remote Code Execution Vulnerability.
CVSS: 9.8/10
Mô tả: Message Queuing tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực, thực thi mã từ xa trên hệ thống có cấu hình dịch vụ Messeage Queuing (Messeage Queuing service). Để khai thác lỗ hổng, attacker sẽ gửi packet MSMQ chứa các đoạn mã độc hại tới MSMQ server, server xử lý packet này và kích hoạt các đoạn mã độc hại
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21554
3.1.3 CVE-2023-23384 – Microsoft SQL Server Remote Code Execution Vulnerability.
CVSS: 7.3/10
Mô tả: Công cụ SQLcmd trong SQL Server tồn tại lỗ hổng Out Of Bound Write Vulnerability cho phép kẻ tấn công không cần xác thực, thực thi mã từ xa trên hệ thống bị ảnh hưởng. Tuy nhiên, quá trình khai thác lỗ hổng yêu cầu độ phức tạp cao, do việc chỉ kiểm soát và ghi đè được số lượng rất ít các bytes trong bộ nhớ
Phiên bản ảnh hưởng:
Microsoft SQL Server 2022 for x64-based Systems (GDR)
Microsoft SQL Server 2019 for x64-based Systems (CU 18)
Microsoft SQL Server 2017 for x64-based Systems (CU 31)
Microsoft SQL Server 2016 for x64-based Systems Service Pack 3
Azure Connectivity Pack
Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)
Microsoft SQL Server 2014 Service Pack 3 for x64-based Systems (CU 4)
Microsoft SQL Server 2019 for x64-based Systems (GDR)
Microsoft SQL Server 2014 Service Pack 3 for 32-bit Systems (CU 4)
Microsoft SQL Server 2014 Service Pack 3 for 32-bit Systems (GDR)
Microsoft SQL Server 2014 Service Pack 3 for x64-based Systems (GDR)
Microsoft SQL Server 2008 for x64-Based Systems Service Pack 4 (QFE)
Microsoft SQL Server 2008 R2 for x64-Based Systems Service Pack 3 (QFE)
Microsoft SQL Server 2008 R2 for 32-Bit Systems Service Pack 3 (QFE)
Microsoft SQL Server 2017 for x64-based Systems (GDR)
Microsoft SQL Server 2012 for x64-based Systems Service Pack 4 (QFE)
Microsoft SQL Server 2012 for 32-bit Systems Service Pack 4 (QFE)
Microsoft SQL Server 2008 for 32-bit Systems Service Pack 4 (QFE)
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update–guide/vulnerability/CVE–2023–23384
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2023-29017/CVE-2023-29199 – vm2 Sandbox Escape Vulnerability.
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng trong module vm2 (module cung cấp môi trường sandbox) trong thư viện Node.js. Khai thác thành công 2 lỗ hổng cho phép kẻ tấn công escaped sandbox và thực thi đoạn mã độc hại. Hiện tại mã khai thác đã được public trên Internet (https://gist.github.com/seongil-wi/2a44e082001b959bfe304b62121fb76d)
Phiên bản ảnh hưởng: vm2 phiên bản 3.9.15 trở về trước
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://github.com/patriksimek/vm2/releases/tag/3.9.17
3.2.2 CVE-2023-30465: Apache InLong SQL injection Vulnerability.
CVSS: 5.3/10
Mô tả: Tồn tại lỗ hổng SQL Injection cho phép kẻ tấn công có thể trích xuất thông tin
Phiên bản ảnh hưởng: Apache InLong phiên bản từ 1.4.0 đến 1.5.0
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
Phiên bản mới nhất hiện lại là Apache InLong phiên bản 1.6.0 https://inlong.apache.org/downloads/